2019-03-15

发布时间 2019-03-16

新增事件


事件名称:

HTTP_僵尸网络_MiraiXMiner_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到僵尸网络MiraiXMiner试图连接远程服务器。源IP所在的主机可能被植入了MiraiXMiner

MiraiXMiner
是一个仍然活跃着的僵尸网络,融合了多种已知病毒家族,包括MiraiMyKings、远控、挖矿等。利用永恒之蓝漏洞、闭路电视物联网设备漏洞、MSSQL漏洞、RDP爆破和Telnet爆破等方式传播自身。

更新时间:

20190315

默认动作:

丢弃

事件名称:

HTTP_GandCrab_5.2勒索病毒_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到勒索AppGandCrab 5.2试图连接远程服务器。源IP所在的主机可能中勒索App。

GandCrab5.2
勒索病毒对我国政府部分政府部门工作人员进行鱼叉邮件攻击。攻击邮件主题为你必须在311日下午3点向警察局报到!包含“MinGap Ryong”及其他假冒的发件人约70余个,邮件附件名为“03-11-19.rar”GandCrab勒索病毒是国内目前最活跃的勒索病毒之一,该病毒在过去一年时间经过5次大版本更新,该病毒在国内擅长使用弱口令爆破,挂马,垃圾邮件传播,该病毒由于使用了RSA+Salsa20的加密方式。无法拿到病毒编辑手中私钥常规情况下无法解密。  

更新时间:

20190315

默认动作:

丢弃


修改事件


事件名称:

TCP_木马_Win32.TrickBot_NetworkCollectorModule

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马TrickBot


TrickBot
是一个功能强大的窃密木马。Trickbot银行木马中包含Network Collector Module,该模块可以搜集用户信息上传至服务器。  

更新时间:

20190315

默认动作:

丢弃

事件名称:

TCP_后门_MSIL.Crimson_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Crimson


Crimson
是一个功能非常强大的后门,运行后,可以完全控制被植入机器。Crimson通过各种模块来扩展其功能,如获取凭证,键盘记录等。  

更新时间:

20190315

默认动作:

丢弃

事件名称:

TCP_后门_MSIL.Crimson_控制命令

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到后门Crimson的服务器在向Crimson发送控制命令。目的IP所在的主机可能被植入了后门 Crimson

Crimson
是一个功能非常强大的后门,运行后,可以完全控制被植入机器。Crimson通过各种模块来扩展其功能,如获取凭证,键盘记录等。 

更新时间:

20190315

默认动作:

丢弃